È illecita la mancata eliminazione dei dati personali dell’artista dal sito internet di vendita e promozione dei suoi lavori dopo il recesso dal contratto.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy
Indice
1. I fatti
Un artista inviava un reclamo al Garante per la protezione dei dati personali nel quale sosteneva che, all’interno di un sito Internet gestito da una ditta individuale, errano ancora presenti i suoi dati personali nonostante egli avesse già receduto da quasi un anno dal contratto sottoscritto con la predetta ditta individuale ed avente ad oggetto la vendita e la promozione delle sue opere d’arte anche sul Web. Il garante, ritenendo che la comunicazione di recesso aveva carattere contrattuale, ma non poteva sostanziarsi in una richiesta di esercizio dei diritti in materia di dati personali, invitava il reclamante a formulare una nuova richiesta alla ditta individuale avente ad oggetto la cancellazione dei dati contenuti all’interno del sito Internet.
Nonostante la specifica nuova richiesta inviata dalla reclamante, la ditta individuale non dava alcun riscontro non rispondeva neanche alla successiva richiesta di informazioni proveniente dal garante medesimo.
In considerazione di ciò il garante avviava cedimento sanzionatorio nei confronti della ditta individuale e rinviava la guardia di finanza ad effettuare una verifica ispettiva presso la sede legale dell’impresa. A seguito degli accertamenti compiuti dai militari, emergeva che i dati della reclamante erano stati cancellati non appena l’impresa aveva ricevuto la comunicazione di avvio del procedimento da parte del garante, ma che di tale cancellazione il reclamante non era stato informato.
In secondo luogo, che la richiesta di cancellazione dei dati che era stata formulata dall’interessato non era stata riscontrata dalla ditta per una mera svista e che la regola aziendale in ordine alla cancellazione dei dati dei committenti prevedeva che detti dati venissero cancellati immediatamente alla cessazione del contratto nel caso in cui questo fosse stato disdetto con tre mesi di preavviso (come contrattualmente previsto).
Considerazione di ciò, il garante ha contestato all’impresa tre diverse possibili violazioni della normativa in materia di privacy: in primo luogo, il mancato riscontro all’istanza di esercizio dei diritti formulata dall’interessato; in secondo luogo, la conservazione dei dati dell’interessato per un periodo di tempo ulteriore rispetto alla finalità di pubblicazione dei medesimi perseguita in base all’oggetto del contratto; infine, la diffusione dei dati personali della reclamante attraverso il sito Internet senza che vi fosse il consenso di quest’ultimo e dopo la cessazione del contratto sottoscritto con l’interessato medesimo.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
20.00 €
2. Mancata eliminazione dati personali da sito di vendita dopo recesso del contratto: la valutazione del Garante
Dagli accertamenti eseguiti nel procedimento è emerso che il titolare del trattamento aveva avuto conoscenza della istanza di cancellazione dei propri dati che il reclamante aveva formulato, ma nonostante ciò il titolare non aveva fornito riscontro alla predetta richiesta ed invece aveva provveduto alla cancellazione dei dati solo dopo aver ricevuto la comunicazione di avvio del procedimento sanzionatorio nei suoi confronti da parte del garante. Tale mancato riscontro, secondo quanto dichiarato dalla stessa impresa, era dipeso da una mera svista.
In secondo luogo, dagli accertamenti è emerso che l’impresa non ha spiegato per quale ragione non aveva fornito riscontro alla richiesta di informazioni che gli era stata rivolta dall’ufficio.
Secondo il garante, Le suddette circostanze denotano una non adeguata gestione dei canali di comunicazione da parte del titolare del trattamento, da cui è derivato un appesantimento degli adempimenti istruttori e un rallentamento dell’azione amministrativa, oltre che l’impedimento all’interessato di poter correttamente esercitare i suoi diritti in materia di privacy (in particolare, quello di cancellazione dei dati).
A tal proposito, mette conto rilevare che il regolamento europeo per la protezione dei dati personali impone al titolare del trattamento di agevolare l’esercizio dei diritti e in particolare di dare riscontro alle istanze rivolte dall’interessato entro un termine ragionevole e comunque non oltre 30 giorni dalla ricezione dell’istanza.
Nel caso di specie, invece, il titolare del trattamento ha fornito riscontro all’istanza di cancellazione inviata dalla reclamante solo dopo la comunicazione di avvio del procedimento dinanzi al garante.
Analogamente anche la cancellazione dei dati personali della reclamante dal sito Internet è avvenuta solo dopo che il titolare del trattamento ha ricevuto la contestazione da parte del garante (quindi oltre un anno dopo che il reclamante aveva comunicato il recesso dal contratto di mandato). Ciò ha comportato altresì che il titolare del trattamento abbia violato gli accordi contrattuali raggiunti con il reclamante, secondo i quali la cancellazione dei dati personali sarebbe dovuto avvenire immediatamente alla ricezione dell’esercizio del diritto di recesso dal contratto di mandato da parte del reclamante.
Conseguentemente, i dati della reclamante sono stati trattati, all’interno del sito Internet gestito dal titolare, in assenza di una idonea base giuridica (considerato che il contratto di mandato era venuto meno e non vi erano altri motivi che giustificassero il trattamento).
3. La decisione del Garante
In considerazione di tutto quanto sopra, il garante ha ritenuto che il comportamento posto in essere dal titolare abbia violato plurime disposizioni in materia di trattamento dati, sia con riferimento al mancato riscontro all’istanza di esercizio dei diritti da parte dell’interessato, sia con riferimento alla conservazione dei dati personali all’interno del sito Web con conseguente violazione dei principi di finalità, minimizzazione e limitazione del trattamento.
Tante le accertate violazioni, il garante ha ritenuto, da un lato, di dover ingiungere alla società di adottare misure tecniche e organizzative adeguate a fornire un idoneo riscontro alle richieste di esercizio dei diritti degli interessati, attraverso il corretto presidio dei canali di comunicazione e in particolare dell’indirizzo pec preposto alla relativa trattazione; dall’altro lato, di dover applicare alla impresa una sanzione amministrativa pecuniaria.
Per quanto concerne la quantificazione della sanzione amministrativa pecuniaria, il garante ha preso in considerazione, per quanto riguarda le circostanze aggravanti, la dimensione gravemente colposa della condotta posta in essere dal titolare, tenuto conto che quest’ultimo ha agito con noncuranza rispetto alle iniziali istanza di cancellazione del reclamante alla quale non ha prestato la dovuta attenzione, nonché lo scarso grado di cooperazione con il garante in quanto il titolare non ha tenuto conto delle conseguenze che potevano derivare dal mancato riscontro alla richiesta di informazioni e in quanto non ha neanche fornite spiegazioni in merito al mancato riscontro. Dall’altro lato, per quanto concerne le circostanze attenuanti, il garante ha valutato la natura isolata della condotta, posto che vi è stato un solo reclamo, l’avvenuta cancellazione dei dati personali del reclamante, seppure tardiva, l’assenza di precedenti procedimenti a carico del titolare, la natura comune dei dati trattati nonché infine la complessiva valutazione sulla capacità economica dell’impresa.
In ragione della ponderazione delle suddette circostanze, il garante ha ritenuto idoneo quantificare la sanzione amministrativa nella somma di euro 5.000 (cinquemila).
Scrivi un commento
Accedi per poter inserire un commento